Thema: Sicherheitslücken in PostgreSQL

[SiLæncer]

Die Entwickler der Open-Source-Datenbank PostgreSQL haben sicherheitsrelevante Fehler im Modul contrib/tsearch2 und in der Zeichenkonvertierung bestätigt. Ein am System angemeldeter Benutzer kann dadurch die Datenbank lahmlegen beziehungsweise Befehle mit höheren Zugriffsrechten, etwa root, absetzen. Betroffen sind die Versionen 7.3.x, 7.4.x und 8.0.x.

Der Hersteller beschreibt in seinem Advisory einen Workaround, um die Schwachstellen zu schließen und bereitet momentan fehlerkorrigierte Releases vor. Für Anwender bereits installierter Datenbanken ist es damit allerdings nicht getan, da der Fehler in den Daten des System-Kataloges selbst sitzt. In diesem Fall sollten die Administratoren die Daten mit den Anweisungen aus dem Advisory korrigieren oder mit einer der kommenden Versionen die Datenbank -- nebst Neuanlegen der Datenbankinhalte -- komplett neu aufsetzen.

Quelle und Links : http://www.heise.de/security/news/meldung/59290

[SiLæncer]

Die PostgreSQL-Entwickler stellen für die Versionen 8.0 und 8.1 Updates bereit, die unter anderem zwei kritische Fehler der Windows-Variante korrigieren. Sie fordern Nutzer dieses Betriebssystems auf, die Patches so schnell wie möglich herunterzuladen und zu installieren.

Der erste behobene Bug kann zu einer Denial-of-Service-Attacke führen. Zu viele simultane Verbindungsanfragen bringen den Postmaster zum Absturz, sodass der Server keine neuen Verbindungen mehr akzeptiert. Bereits aufgebaute Sessions bleiben aber bestehen.

Der zweite Fehler kann unter Umständen zu Datenverlust führen. Durch einen fehlerhaften Lesepuffer werden bereits angelegte Seiten überschrieben. Weitere Korrekturen betreffen unter anderem den Vergleich von Zeichenketten mit Sonderzeichen und die Autovacuum-Funktion, die gelöschte Datensätze automatisch aus den Tabellen entfernt. Eine vollständige Liste der behobenen Fehler findet sich auf der PostgreSQL-Website.

Quelle und Links : http://www.heise.de/security/news/meldung/68129

[SiLæncer]

Anwender von PostgreSQL 7 und 8 sollten ihre Installationen aktualisieren. Die Entwickler haben neue Versionen veröffentlicht, die eine als moderat eingestufte Lücke in PL/perl und PL/tcl beheben. Betroffen sind die Bugs CVE-2010-1169, CVE-2010-1447 und CVE-2010-1170. Zu den Änderungen gehört unter anderem der Verzicht auf das Modul Safe.pm, das eine Art Sandbox für Perl-Programme implementiert. Stattdessen enthält der PostgreSQL-Code jetzt eine festverdrahtete Liste zulässiger Perl-Operatoren. Ein Nebeneffekt ist den Release-Notes zufolge eine schnellere Übersetzung in Perl geschriebener Stored Procedures.

Betroffen von dem Upgrade sind die PostgreSQL-Versionen 8.0 bis 8.4 und 7.4. Online stehen Installationspakete und Quellen zur Verfügung, die aktuellen Versionen sind 8.4.4, 8.3.11, 8.2.17, 8.1.21, 8.0.25 und 7.4.29. Allerdings wird es für 8.0 und 7.4 ab Juni 2010 keine Aktualisierungen mehr geben, weshalb das Entwicklerteam deren Nutzern den Umstieg auf neuere Versionen empfiehlt. Für die vor Kurzem veröffentlichte Beta von 9.0 soll es in wenigen Tagen ebenfalls einen Nachfolger geben, der die Lücken schließt.

Quelle : www.heise.de

[SiLæncer]

Zwei Bugs in der freien relationalen Datenbank PostgreSQL erlaubten Nutzern das Lesen und Schreiben beliebiger Dateien. Sie sind mit den heute veröffentlichten Updates für die Versionen 9.1.5, 9.0.9, 8.4.13 und 8.3.20 geschlossen worden. Betroffen sind die von libxml2 und libxslt bereitgestellten XML- und XSLT-Funktionen.

Der ganze Artikel

Quelle : www.heise.de